中东地区历来矛盾错综复杂,互相交织,一切体现在连绵不断的战争之中。除却发射导弹与坦克履带发出的轰鸣声外,另一种无声的战争也时时刻刻发生在战场中,诸如叙利亚电子军的黄金鼠和拍拍熊,以色列的unit8200,专门向中东各国提供网络武器的NSO,伊朗的各种网军,阿联酋和沙特的乌鸦网军,巴勒斯坦的哈马斯网军等等。

而网军的水平,也代表了国家的实力,在如今信息战频发的时代,网军将代表每个国家的利刃,在获取情报以及军事打击中显得极为重要。

奇安信威胁情报中心红雨滴团队将对沙特阿拉伯石油设施被炸事件的整理,以及对美国与伊朗之间的网络战分析,最后对石油类能源网络安全的趋势研判。

背景

沙特阿拉伯内政部9月14日发表声明说,当天凌晨,有数架无人机袭击了沙特国家石油公司(阿美石油公司)的两处石油设施并引发火灾。

袭击发生后,也门胡塞武装一名发言人称,胡塞武装9月14日出动10架无人机对阿美石油公司在布盖格和胡赖斯的设施发动袭击,该武装还表示将扩大对沙特的袭击范围。并于9月15日再次重申该武装利用沙特防空系统的漏洞发动了袭击。但沙特阿拉伯的盟友美国却将矛头指向伊朗,指责伊朗才是幕后黑手,认为伊朗正在向全球能源供应发动空前袭击,声称没有证据表明袭击来自也门。

从美国方面公布的分析来看,其获得的卫星照片显示,针对沙特石油设施的袭击来自北方或西北方,这意味着袭击可能是从伊朗或伊拉克发起的,而非地处沙特以南的也门。同时怀疑此次袭击不仅涉及无人机,还包括巡航导弹,袭击的范围、精准度和复杂度也超出了也门胡塞武装的能力。

西方舆论一向认为伊朗是胡塞武装的后盾,也门内战是沙特支持的也门政府和伊朗支持的胡塞武装之间的“代理人战争”。

美国秘密打击

根据路透社10月16日最新报道称,由于美国认为沙特阿拉伯石油设施被袭击一事是伊朗所为,因此其于9月下旬,为了遏制伊朗拥有的可“发布对美国不利消息”的能力,美国秘密打击了伊朗的网络。

而根据消息透露,该次攻击行为影响了物理硬件,但未提供进一步的细节。

而这也不禁让人想起了美国当初针对伊朗的“震网”病毒攻击,当初的攻击行为同样影响了物理硬件,而这个物理硬件也许更厉害一些——一台西门子的离心机。

当被问及美国宣传的信息时,伊朗通信和信息技术部长穆罕默德·贾瓦德·阿扎里·贾鲁米说:“他们一定梦到了”。

美伊网络对抗

美国和伊朗间的网络对抗,最早可追溯到上面提到的2006年的震网病毒,这种网络病毒由美国和以色列开发,用于破坏伊朗核计划。

而网络战的加剧一切始于伊朗2019年6月21号击落美国无人机的开始,在击落无人机后,美国方面立即发起网络反击,攻击伊朗的军事指挥和控制系统,也有外媒称导弹控制系统也成为美方攻击的目标。

同样是在2019年6月,美网军对伊朗发动网络攻击,摧毁了伊朗革命卫队使用的一个关键数据库。

而在爆出美国秘密从网络侧军事打击伊朗一事前,微软还曾报道了一起关于伊朗黑客试图干扰2020年总统大选的报告,其中提及了一个名为Phosphorus组织,又名APT35/Charming Kitten/Ajax,其在8月至9月的30天时间内试图通过2700多次账号撞库手段网络攻击241个帐户。

攻击目标与美国总统竞选活动,现任和前任美国政府官员,报道全球政治的记者以及居住在伊朗境外的著名伊朗人有关。这些撞库导致四个帐户被盗;但这四个帐户与美国总统竞选活动或美国现任和前任政府官员无关。

相对而言,伊朗方面采取的攻击手法更为基础,基本以鱼叉邮件投递为主,下图便为今年伊朗APT33针对美国白宫的一起钓鱼攻击所使用的诱饵,同时这也体现出两国在网络安全水平实际上存在很大的差距,显而易见,美国的攻击行为均为媒体采访爆出,而伊朗的攻击行为均在安全厂商捕获攻击样本后爆出,主动和被动说明了一切。

上面几则案例仅为双方代表性的攻击讯息,具体细节可参考奇安信威胁情报中心红雨滴团队公众号的历史分析文章,其中对美国与伊朗的攻击组织手段进行了详细剖析。

能源网络安全

在讨论完伊朗和美国之间的Cyber War后,还是要谈谈这起事件的主要受害者,沙特阿美公司。

沙特阿拉伯国家石油公司,简称沙特阿美,是沙特阿拉伯的国家石油公司,为目前世界上探明储量最大的石油公司,是一个有65年历史的综合国际石油公司,现有员工5.75万人,拥有全世界最大路上油田和海上油田。作为世界最大的石油生产公司和世界第六大石油炼制商,其业务遍及沙特王国和全世界。它主要从事石油勘探、开发、生产、炼制、运输和销售等业务。

2012年,一款叫做Shamoon的病毒袭击了沙特阿美石油公司,导致数小时内该公司3.5万台电脑上的数据被部分或完全删除,沙特阿美不得不重返传真机和打字机年代,这家供应全球10%原油的公司有数小时暴露在危险之中。

虽然石油生产未受到明显影响,但所有依靠计算机辅助的业务全部“宕机”。由于2012年的原油价格正处于100美元/桶左右的高位,所以该网络攻击事件一度引发沙特乃至全球原油市场的恐慌。

据沙特阿美方面称,这次攻击的主要目的是干扰沙特的原油生产,而从这次的无人机轰炸的结果来看,油价确实飙升。

而当时那起攻击后来被普遍认为是来自伊朗OilRig(APT34)组织的攻击,该活动组主要针对石化,石油和天然气以及发电行业。攻击目标已经超越了其最初关注的海湾地区,目前该活动组仍然活跃并且在不止一个地区发展。

除了2012年的攻击外,在2017年8月,一个名为XENOTIME(Temp.Veles)组织使用破坏性TRISIS框架在沙特阿拉伯王国的石油和天然气设施中造成破坏,该框架专门针对Triconex安全控制器进行定制化武器开发。

这也足以证明了一点,在石油行业,售卖国之间同样存在强烈的竞争,同样这也和国家矛盾相关,而对石油天然气开采系统中涉及的工业控制系统ICS以及外连互联网设备均将成为能源战的目标。

那么,拥有巨额财富的阿美公司在网络安全方面是怎么做的呢?

目前,为了吸取教训,阿美公司高级工业工程师Wael Mohammed Al Fareed受托管理该公司运营的五个主要沙特工厂的网络安全,并确认正在全面提高威胁意识,检测和防护标准。在过去的几年中获得了相当大的发展势头。

Al-Fareed在荷兰海牙的霍尼韦尔用户组2019会议上说:“对我们设施的网络攻击频率正在上升,我们正加班努力以保护我们的基础设施。这是石油行业和天然气业务中每个主要运营商的生存挑战。”

上图便是沙特阿拉伯Shaybah油田的Aramco石油加工设施中的储油罐,他们在威胁不断增加的情况下,这家国有公司对网络安全进行了一倍的投资。

而他们均认为,系统没有100%的安全性,而系统漏洞始终存在。

因此,他们的工作主要是提高员工的安全意识,从而可以抵制在入口点的攻击,并及时对系统进行加固和更新,从而减少和控制入侵行为。

法勒德(Al Fareed)表示,目前沙特阿美面临的威胁的性质,已经从网军过度到越来越多的黑产从业者,他们开始越来越多的尝试发起勒索软件攻击,可见,这样的趋势在全球都保持着一致性。

目前,沙特阿美的网络安全意识行动现已覆盖了阿美公司的每位员工。

总结

美国秘密从网络侧针对伊朗发起军事打击,实际上这点并不意外,但是对于当前这种只要出现纠纷就会互相发起网络攻击的国际形势,无论是国内外看来,都将敲响警钟,当然,这也是对两国的网络战水平的观察过程,但显而易见,美国的详细攻击手段仍然没有被曝光,自其网络武器泄露已过去2年以来,对于现阶段美国的网络安全能力实际上仍是一个谜。

而奇安信威胁情报中心红雨滴团队认为,无论多么来势汹汹的攻击,只有进行整个系统包括人员进行的“安全加固”,防御才能有效。

结合场景,根据美国赛门铁克公司的调查数据,从2015年到2018年,针对能源公司为攻击目标的网络犯罪组织从87个快速增长到140个,可见能源安全防护的重要性。

虽然上面的案例中只谈及了中东国家,但是被黑客“关注”的绝不仅是中东产油国家。2014年8月,挪威石油行业也遭遇了网络攻击。挪威国家安全局称,当时有50家石油公司网络瘫痪,250家石油公司接到检查系统的警告,其攻击规模也是挪威史上最大的一次,无独有偶,2017年Wannacry勒索软件爆发后,多家石油公司同样遭受攻击,这也足以证明了,网络安全防护在能源安全的重要性。毕竟现阶段,能源即为国家命脉。

最后结合2019年国家网络安全宣传周的主题结束本篇文章:网络安全为人民,网络安全靠人民。

*部分内容来自百度搜索

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。